樊瑞

《數(shù)據(jù)安全法》和《個人信息保護法》建立了中國數(shù)據(jù)出境安全管理的基本框架，《數(shù)據(jù)出境安全評估辦法》明確了具體操作規(guī)則。圖/IC

中國對數(shù)據(jù)出境的安全評估有了明確規(guī)則。

7月7日，國家互聯(lián)網(wǎng)信息辦公室（下稱“國家網(wǎng)信辦”）公布《數(shù)據(jù)出境安全評估辦法》（下稱《辦法》）。該《辦法》自2022年9月1日起施行。

國家網(wǎng)信辦有關(guān)負責(zé)人表示，出臺《辦法》旨在落實《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》的規(guī)定，規(guī)范數(shù)據(jù)出境活動，保護個人信息權(quán)益，維護國家安全和社會公共利益，促進數(shù)據(jù)跨境安全、自由流動，切實以安全保發(fā)展、以發(fā)展促安全。

多位專家在接受《財經(jīng)》記者采訪時表示，《辦法》彌補了數(shù)據(jù)出境的安全漏洞，健全了數(shù)據(jù)出境安全屏障。他們建議，相關(guān)企業(yè)在數(shù)據(jù)出境活動發(fā)生前，應(yīng)依法開展風(fēng)險自評估、申報，并通過數(shù)據(jù)出境安全評估。

什么情況需要安全評估？

《辦法》中明確，其適于數(shù)據(jù)處理者向境外提供在中國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)和個人信息的安全評估。同時提出，數(shù)據(jù)出境安全評估堅持事前評估和持續(xù)監(jiān)督相結(jié)合、風(fēng)險自評估與安全評估相結(jié)合等原則。

《辦法》明確，數(shù)據(jù)出境活動包括兩種情況：一是數(shù)據(jù)處理者將在境內(nèi)運營中收集和產(chǎn)生的數(shù)據(jù)傳輸、存儲至境外。二是數(shù)據(jù)處理者收集和產(chǎn)生的數(shù)據(jù)存儲在境內(nèi)，境外的機構(gòu)、組織或者個人可以訪問或調(diào)用。

《辦法》還規(guī)定，在四種情況下，數(shù)據(jù)處理者應(yīng)當(dāng)申報數(shù)據(jù)出境安全評估。

（一）數(shù)據(jù)處理者向境外提供重要數(shù)據(jù);（二）關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理100萬人以上個人信息的數(shù)據(jù)處理者向境外提供個人信息;（三）自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數(shù)據(jù)處理者向境外提供個人信息;（四）國家網(wǎng)信部門規(guī)定的其他需要申報數(shù)據(jù)出境安全評估的情形。

根據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》，關(guān)鍵信息基礎(chǔ)設(shè)施運營者，是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等的運營企業(yè)，大型電信運營商、能源企業(yè)、民航公司、金融機構(gòu)等都屬于此類主體范圍。

而為何將處理100萬人的個人信息作為是否需要進行安全評估的標(biāo)準(zhǔn)？中國法學(xué)會網(wǎng)絡(luò)與信息法學(xué)研究會副秘書長、中國社科院法學(xué)所網(wǎng)絡(luò)與信息法室副主任周輝透露，在《辦法》制定中，100萬人的標(biāo)準(zhǔn)曾經(jīng)有過爭議，“許多中國企業(yè)的用戶都可能超過這一標(biāo)準(zhǔn)，雖然100萬人占中國人口的比重并不大，但是要放在全球范圍內(nèi)來看，這是很大的一個規(guī)?！?。

北京德恒律師事務(wù)所合伙人、網(wǎng)絡(luò)安全應(yīng)急技術(shù)國家工程實驗室數(shù)據(jù)安全咨詢專家劉揚對《財經(jīng)》記者表示，“我的理解是，對達到100萬人以上個人信息的數(shù)據(jù)處理者的安全要求，應(yīng)當(dāng)?shù)韧陉P(guān)鍵信息基礎(chǔ)設(shè)施運營者?！币簿褪钦f，相關(guān)機構(gòu)如果出現(xiàn)數(shù)據(jù)安全問題，對公眾造成的影響不低于關(guān)鍵信息基礎(chǔ)設(shè)施運營者。

那么，哪些類型的個人信息會受到重點關(guān)注？

周輝指出，結(jié)合《個人信息保護法》的有關(guān)規(guī)定來看，個人信息是以電子或者其他方式記錄的，與已識別或者可識別的自然人有關(guān)的各種信息，但不包括匿名化處理后的信息。例如，個人的賬號密碼、身份證件號碼、出生日期等。此外，還包括敏感個人信息，即一旦被泄露或被非法使用，容易導(dǎo)致具體個人人格尊嚴(yán)受到侵害，或人身、財產(chǎn)安全受到危害的個人信息，具體包括生物識別、宗教信仰、特定身份、健康狀況、金融賬戶、行蹤軌跡等信息，以及不滿14周歲的未成年人信息。

如何進行安全評估？

根據(jù)《辦法》，數(shù)據(jù)出境安全評估主要包括七個方面。

一是數(shù)據(jù)出境的目的、范圍、方式等的合法性、正當(dāng)性、必要性。

二是境外接收方所在國家或者地區(qū)的數(shù)據(jù)安全保護政策法規(guī)和網(wǎng)絡(luò)安全環(huán)境對出境數(shù)據(jù)安全的影響;境外接收方的數(shù)據(jù)保護水平是否達到中國法律、行政法規(guī)的規(guī)定和強制性國家標(biāo)準(zhǔn)的要求。

三是出境數(shù)據(jù)的規(guī)模、范圍、種類、敏感程度，出境中和出境后遭到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等風(fēng)險。

四是數(shù)據(jù)安全和個人信息權(quán)益是否能夠得到充分有效保障。

五是數(shù)據(jù)處理者與境外接收方擬訂立的法律文件中是否充分約定了數(shù)據(jù)安全保護責(zé)任義務(wù)。

六是遵守中國法律、行政法規(guī)、部門規(guī)章情況。

七是國家網(wǎng)信部門認為需要評估的其他事項。

《辦法》也明確了數(shù)據(jù)出境安全評估的具體流程。

首先是數(shù)據(jù)處理者在申報前，應(yīng)當(dāng)開展自評。此后，應(yīng)通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門提交申報，而國家網(wǎng)信部門在收到申報材料之日起7個工作日內(nèi)，確定是否受理，并通知申報者。受理申報后，國家網(wǎng)信部門組織國務(wù)院有關(guān)部門、省級網(wǎng)信部門、專門機構(gòu)等進行安全評估。國家網(wǎng)信部門在發(fā)出受理通知書之日起45個工作日內(nèi)完成評估。通過數(shù)據(jù)出境安全評估的結(jié)果有效期為2年。如果在有效期內(nèi)，發(fā)生影響出境數(shù)據(jù)安全的情況，需要重新申報評估。

《辦法》距離正式生效不足兩個月，將對企業(yè)產(chǎn)生什么影響？

世輝律師事務(wù)所合伙人王新銳指出，本身用戶數(shù)量較多（即超過100萬）的企業(yè)，以及業(yè)務(wù)中涉及大量出境場景的跨國企業(yè)，都會受到較大影響，可能觸發(fā)安全評估。

周輝表示，《辦法》實施后，將對達到評估申報標(biāo)準(zhǔn)的數(shù)據(jù)處理者產(chǎn)生約束性影響，尤其是金融、電信、衛(wèi)生健康、能源、民航等重要行業(yè)和領(lǐng)域。這些領(lǐng)域的機構(gòu)向境外提供的數(shù)據(jù)，一方面可能涉及國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全的重要數(shù)據(jù);另一方面因為自身被確定為關(guān)鍵信息基礎(chǔ)設(shè)施運營者，同時，其處理數(shù)據(jù)的量級輕易即可達到“100萬人以上”。

周輝建議，上述相關(guān)行業(yè)，應(yīng)當(dāng)盡快適應(yīng)《辦法》的要求，在數(shù)據(jù)出境活動發(fā)生前依法開展自評估、申報并通過評估。如果目前不符合《辦法》的管理要求，應(yīng)當(dāng)在《辦法》規(guī)定的期限（2023年3月1日）前完成整改。周輝還表示，這可能意味著數(shù)據(jù)出境活動頻率、數(shù)量會受到一定程度的影響。一些難以在期限內(nèi)完成整改的數(shù)據(jù)出境業(yè)務(wù)，可能因合規(guī)要求而暫停甚至終止。

劉揚建議，在進行數(shù)據(jù)出境安全評估過程中，應(yīng)當(dāng)結(jié)合企業(yè)實際情況，聘請專業(yè)人員輔助評估，形成規(guī)范化流程。

補齊數(shù)據(jù)出境的安全屏障

在全球化背景下，中國的數(shù)據(jù)出境已呈常態(tài)化趨勢。

周輝指出，隨著全球數(shù)字經(jīng)濟的快速發(fā)展和大數(shù)據(jù)、互聯(lián)網(wǎng)等技術(shù)的廣泛應(yīng)用，數(shù)據(jù)出境活動日益普遍。目前，一些國家和地區(qū)已建立起有關(guān)數(shù)據(jù)出境的管理制度，幾乎都將數(shù)據(jù)跨境安全作為重點和出發(fā)點。

2022年5月19日，《辦法》經(jīng)國家網(wǎng)信辦2022年第10次室務(wù)會議審議通過?！掇k法》共有20條，規(guī)定了數(shù)據(jù)出境安全評估的范圍、條件和程序，為數(shù)據(jù)出境安全評估提供了具體指引。

中國科學(xué)技術(shù)大學(xué)公共事務(wù)學(xué)院、網(wǎng)絡(luò)空間安全學(xué)院教授左曉棟告訴《財經(jīng)》記者，數(shù)據(jù)是國家的戰(zhàn)略資源，“如果一個國家對于數(shù)據(jù)出境不設(shè)防，相當(dāng)于國家安全大門洞開。在當(dāng)今社會，每一個國家都應(yīng)當(dāng)建立數(shù)據(jù)出境安全的有關(guān)管理制度”。

《辦法》要求，對可能會影響國家安全、公共利益的數(shù)據(jù)出境，要經(jīng)過網(wǎng)信部門的安全評估。左曉棟指出，《辦法》在很大程度上彌補了國家安全漏洞，健全了國家數(shù)據(jù)出境安全的屏障。

實際上，中國近年正在逐步完善對于數(shù)據(jù)出境的相關(guān)立法。

2016年11月，全國人大常委會通過《網(wǎng)絡(luò)安全法》，其中第37條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中國境內(nèi)收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)進行安全評估。同時明確，安全評估辦法由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定。

2021年，全國人大常委會先后通過了《數(shù)據(jù)安全法》和《個人信息保護法》，將數(shù)據(jù)出境安全評估制度的實施范圍作出擴展，不再將其局限于關(guān)鍵信息基礎(chǔ)設(shè)施的運營者。

左曉棟指出，根據(jù)一系列立法，中國完善了數(shù)據(jù)出境安全評估制度的法律依據(jù)。他還指出，《數(shù)據(jù)安全法》和《個人信息保護法》建立了中國數(shù)據(jù)出境安全管理的基本框架，但具體落地還有待細則和明確。2021年10月29日，國家網(wǎng)信辦發(fā)布了《數(shù)據(jù)出境安全評估辦法（征求意見稿）》，八個月后，《辦法》正式出臺。

周輝指出，在《數(shù)據(jù)安全法》《個人信息保護法》實施前，國內(nèi)不少機構(gòu)的數(shù)據(jù)出境活動基本處于“裸奔”狀態(tài)，有時數(shù)據(jù)權(quán)利人甚至都不清楚自己數(shù)據(jù)被出境，嚴(yán)重威脅著個人信息權(quán)益、社會公共利益乃至國家安全。通過立法確立了數(shù)據(jù)出境安全評估的基本制度后，涉及數(shù)據(jù)出境的機構(gòu)也迫切希望盡快明確具體的規(guī)則，以解決合規(guī)標(biāo)準(zhǔn)不清晰的問題，《辦法》由此應(yīng)運而生。

數(shù)據(jù)安全出境的全球趨勢

如何保證數(shù)據(jù)跨境流動安全，是一個全球命題。

歐盟的數(shù)據(jù)跨境規(guī)則主要集中在《通用數(shù)據(jù)保護條例》（GDPR）中。周輝向《財經(jīng)》記者介紹，GDPR強調(diào)向歐盟境外提供個人信息不得削弱對個人信息的保護力度，除了獲得個人信息主體知情同意等特定例外情況外，具體要求包括：

第一，需要獲得歐盟充分保護認定，這種認定實質(zhì)上是歐盟對他國法律制度、監(jiān)管機構(gòu)設(shè)置、參加國際條約等方面的評估，是最嚴(yán)格的方式。一旦進入這一白名單，數(shù)據(jù)跨境的便利性最大。目前只有新加坡、瑞士、日本等極少數(shù)國家通過了認定。

第二，未通過認定國家的數(shù)據(jù)接收方，滿足以下條件之一，歐盟的數(shù)據(jù)可以出境：1.其所在國與歐盟有數(shù)據(jù)跨境協(xié)議;2.采用歐盟委員會或歐盟委員會批準(zhǔn)的成員國通過的標(biāo)準(zhǔn)數(shù)據(jù)保護條款;3.遵守經(jīng)歐盟監(jiān)管機構(gòu)批準(zhǔn)的行為準(zhǔn)則，以及數(shù)據(jù)處理者自身的數(shù)據(jù)保護承諾。

第三，對于企業(yè)集團或跨國企業(yè)內(nèi)部子公司及其雇員的數(shù)據(jù)跨境，可以遵循“有約束力的公司規(guī)則”。該規(guī)則由企業(yè)集團跨國企業(yè)制定，且需要經(jīng)過歐盟監(jiān)管機構(gòu)批準(zhǔn)。

左曉棟表示，中國的數(shù)據(jù)出境安全管理制度，應(yīng)該說和國際慣例，特別是歐盟保持一致，“明確了數(shù)據(jù)出境安全的幾種情形”。

而美國則有不同的處理方式。周輝表示，美國自稱數(shù)據(jù)自由流動，對數(shù)據(jù)跨境沒有嚴(yán)格的法律限制，更多通過市場機制解決。但在2022年4月，美國宣布了全球跨境隱私規(guī)則（CBPR）聲明，試圖將亞太經(jīng)濟合作組織（APEC）框架下的數(shù)據(jù)跨境傳輸機制（CBPR）的適用擴展至全球范圍。CBPR的核心是建立基于CBPR和處理者隱私識別系統(tǒng)（PRP）的國際認證體系，通過在全球推廣CBPR和PRP系統(tǒng)，支持所謂的數(shù)據(jù)自由流動。